Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Kan zoiets ook in Nederland gebeuren?

In dit artikel:

De FBI heeft naar eigen zeggen 630 miljoen wachtwoorden overgedragen aan de zoekdienst Have I Been Pwned (HIBP) nadat die wachtwoorden waren aangetroffen op in beslag genomen apparaten van een verdachte. Een lezer vroeg of zulke overdracht door politie ook in Nederland mogelijk is. Ict‑jurist Arnoud Engelfriet legt uit dat dat in algemene zin niet zomaar kan: in Nederland worden in beslag genomen zaken of teruggegeven, of verbeurd verklaard zodat de Staat eigenaar wordt (art. 9 Strafrecht) en ze doorgaans verkocht of — als het verboden goederen betreft — vernietigd worden. Er bestaat geen simpele route om onderhands bewijsmateriaal aan een private partij te geven.

Toch is de situatie met HIBP volgens Engelfriet anders van aard: HIBP is een maatschappelijk initiatief met bewezen meerwaarde en werkt al langer samen met de FBI; in 2021 is een formele samenwerking opgezet waarbij de dienst wachtwoorden aan HIBP levert om de maatschappij veiliger te maken. Voor Nederland zou iets soortgelijks wel mogelijk zijn, maar alleen met strikte waarborgen — bijvoorbeeld het afschermen of hashen van wachtwoorden zoals HIBP dat toepast.

Wat de privacywetgeving betreft merkt Engelfriet op dat de AVG hier niet doorslaggevend is omdat de FBI volgens hem alleen losse wachtwoorden deelt, zonder koppelende gebruikersnamen; een wachtwoord op zich ziet hij niet als persoonsgegeven. Engelfriet is een internetrechtjurist met jarenlange ervaring en publicaties op dit terrein.